Nuevo malware ‘Shamos’ ataca dispositivos Mac mediante falsas guías de resolución de problemas

Introducción

En las últimas semanas, se ha detectado una nueva campaña de malware dirigida específicamente a usuarios de dispositivos macOS. El infostealer denominado ‘Shamos’ está explotando estrategias de ingeniería social sofisticadas, distribuyéndose a través de supuestas guías y soluciones para problemas técnicos (ClickFix attacks). Esta amenaza representa una escalada significativa en los ataques contra ecosistemas Apple, tradicionalmente percibidos como más seguros, y evidencia una profesionalización creciente de los grupos cibercriminales enfocados en sistemas macOS.

Contexto del Incidente

Las campañas vinculadas a Shamos se han propagado principalmente a través de sitios web falsos que simulan ser portales legítimos de soporte técnico, foros de ayuda o tutoriales. Los atacantes emplean técnicas SEO (Search Engine Optimization) para posicionar estos recursos fraudulentos entre los primeros resultados de búsqueda, aumentando la probabilidad de que usuarios con problemas reales en sus dispositivos acaben descargando el malware. Estas ClickFix attacks han sido documentadas desde abril de 2024, coincidiendo con un incremento global de amenazas dirigidas a macOS, que según datos de Malwarebytes ha crecido un 30% interanual en 2024.

Detalles Técnicos

Shamos se distribuye principalmente en archivos comprimidos disfrazados de instaladores de software legítimo o scripts de reparación. Una vez ejecutado, el malware aprovecha permisos elevados solicitados mediante prompts engañosos que simulan ser ventanas del sistema —un vector de ataque alineado con la táctica T1566 (Phishing) y T1059 (Command and Scripting Interpreter) del framework MITRE ATT&CK.

El malware implementa técnicas de evasión como la comprobación de entornos sandbox y la verificación de firmantes de código (T1027 – Obfuscated Files or Information). Tras su instalación, Shamos ejecuta payloads que extraen información sensible, incluyendo:

– Credenciales almacenadas en el llavero de macOS (Keychain)
– Cookies y contraseñas de navegadores como Safari y Chrome
– Archivos de configuración de clientes FTP y SSH
– Tokens de autenticación y carteras de criptomonedas

Se han identificado variantes ofuscadas mediante herramientas como PyInstaller y GoLang, lo que dificulta la detección por parte de soluciones tradicionales de EDR y antivirus. No existe aún una referencia CVE específica asociada a Shamos, ya que explota vectores de ingeniería social y no vulnerabilidades técnicas del sistema operativo.

Indicadores de Compromiso (IoC) notables incluyen:

– Hashes SHA256 de ejecutables maliciosos detectados en VirusTotal
– Comunicaciones C2 hacia dominios .top y .xyz recientemente registrados
– Carpetas no estándar creadas en ~/Library/Application Support/

Impacto y Riesgos

La amenaza de Shamos es especialmente relevante para entornos corporativos donde dispositivos Apple se utilizan para acceso remoto, desarrollo de software o gestión de datos sensibles. El robo de credenciales puede facilitar movimientos laterales (lateral movement) y escalada de privilegios en infraestructuras mixtas, comprometiendo incluso sistemas críticos de backend.

Según estimaciones preliminares, la campaña habría afectado ya a más de 3.500 dispositivos en Europa y Norteamérica, con un coste potencial de incidentes de hasta 2 millones de euros, considerando la exposición de credenciales y el acceso a información confidencial bajo el marco regulatorio del GDPR y la inminente NIS2.

Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de seguridad y administradores de sistemas:

– Desplegar controles de aplicación (application whitelisting) y restringir la ejecución de binarios no firmados.
– Implementar EDRs compatibles con macOS y mantenerlos actualizados para incluir los últimos IoC relacionados con Shamos.
– Monitorizar logs de acceso al Keychain y a carpetas de usuario en busca de comportamientos anómalos.
– Formar a usuarios en la identificación de intentos de phishing y en la descarga únicamente de software desde fuentes oficiales.
– Aplicar políticas de privilegios mínimos y segmentar la red para limitar el movimiento lateral en caso de compromiso.

Opinión de Expertos

Especialistas en ciberseguridad como Patrick Wardle (Objective-See) y Thomas Reed (Malwarebytes) coinciden en que el ataque evidencia el creciente interés de los grupos criminales por macOS. Wardle resalta: “La confianza excesiva en la seguridad por defecto de Apple está llevando a muchas empresas a descuidar la monitorización activa y la formación de usuarios”. Reed, por su parte, advierte de la sofisticación de las campañas y la necesidad de reforzar la inteligencia de amenazas específica para entornos Apple.

Implicaciones para Empresas y Usuarios

La irrupción de Shamos refuerza la urgencia de abandonar la percepción de inmunidad de macOS frente al malware. Las empresas que gestionan datos sensibles o sujetos a GDPR deben reforzar la monitorización, incluir Apple en sus auditorías de seguridad y actualizar sus planes de respuesta a incidentes. Para usuarios avanzados y desarrolladores, resulta crítico emplear gestores de contraseñas robustos y activar autenticación multifactor (MFA).

Conclusiones

La aparición de Shamos representa un salto cualitativo en la sofisticación de las amenazas para macOS, especialmente en el contexto corporativo y profesional. Ante la profesionalización de los atacantes y la diversificación de vectores de ataque, es imprescindible que las empresas refuercen sus controles y políticas de seguridad para dispositivos Apple, manteniendo la vigilancia activa y la formación continua de sus usuarios.

(Fuente: www.bleepingcomputer.com)